这已隔我离开等级保护测评机构,时间已经过去一年多了,这中间以及以前经历过许许多多的事情,这段经历使我认识很多,也给了我很多工作上的宝贵财富。
一、写在前篇
阴差阳错,从一位深信服代理商产品的技术支持工程师——》系统网络工程师——》等级保护测评人员——》安全咨询顾问(现在所从事的工作),这中间经历过很多辛苦与磨练,以致种种的决策,这使许多人中间无法理解,或许,我自己也不理解,可就是那么走过来了。其实也就是那么回事,打工在哪里都是打工,只是以往的磨练,使我换了一份岗位不同工作而已。因此,我给自己很清楚的定位——智力于信息安全咨询的工作,因为有了以往的磨练,才能在这一岗位做出很大的事情。
二、写给入门等级保护的人[技术方面测评的人]
做过等级保护技术或管理方面测评的人,可能会说等级保护测评很简单;做过等级保护测评项目的项目经理的人,可能会说等级保护测评很简单。别人都说,“很简单”,其实很简单,那是建立在别人有料的基础上的,因此,对于那些刚入门或没料的人,你在看我这篇文章,你再经过实践,因此,你以后也会说,很简单。因为菜鸟都是这么历练为老鸟的。下面的步骤,是我指导你一个学习方法的一个过程,你可以很快地实践等级保护:
1、看等级保护标准规范
这是入门的基础,因此必须看等级保护标准规范开始,下面你应该首先看如下几个标准:
a)、基本要求 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
b)、等级测评 GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求
c)、等级测评 GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南
看以上这三个标准,这是测评机构或者做差距测评,没经验的人来说,是最基础也是最根本的要求。首先看a)、标准(基本要求),你必须把这4个级别的1——4级等的各种类、测评项、测评方法要求分类,最后形成一个Excel表格,这是快速学习等级保护的一个方法。最后,这个测评方法是要技术、同时也许经验的了,如果你以前是做过运维、网络维护、系统等的人,这4级的测评方法应该很容易归纳和总结出来的,因为我是过来人,所以这些测评方法都不是困难的事情。对于没有经验或者刚毕业的大学生来说,这个就需要慢慢练习,同时找虚拟机进行练习,也许经过日积月累,也会达到一定的效果。
现在一些测评机构,很多都是【通过脚本或等级保护平台】的人进行测评了,所以简化了很多人工的工作,但是这里面有一个问题,就是不稳定的因素存在。因为我以前都是人工去做,之前都还没有这些东西出现,所以之前的工作量与技术衡量还是有一定的能力所在。
b)和c)这两个标准,就是测评要求和测评过程指南,这两个是指导方法,也是很重要的,因此建议大家需要看,因为里面是指导哪些测评项与哪些测评项评为“符合”、“部分符合”、“不符合”、“不适用”等,因此这两个标准也是重中之重。
因此,这些基本的等级保护的介绍,首先介绍到这里,因为技术无法细讲,只能慢慢积累与沉淀。
三、写给入门等级保护的人[安全管理方面测评的人]
做等级保护的管理部分,其实是非常烦躁的一部分。这怎么说呢,因为等级保护的管理部分紧限制于审查,这个由于测评机构的原因,测评机构不能做建设,只能做测评与给建议,所以做等级保护的管理部分,就紧局限于审查的范畴了。这就看出,做这一项工作的人,就女孩子的多。所以,在测评机构做管理部分,我认为学习的东西不多,它不像外面做ISMS、ISO20000、ITIL、ISO27001这些具有建设流程性的东西。也许做等级保护的管理只是一个跳板,为了学习ISMS、ISO20000、ITIL、ISO27001等等。我也希望你们是一个跳板,不太紧局限于测评机构。下面看,你们要学习哪几个方面的标准:
a)、基本要求 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
b)、等级测评 GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求
c)、等级测评 GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南
d)、等级测评 GA/T 713-2007 信息安全技术信息系统安全管理测评
因此,前面几个做管理部分的人也要认真学习,最后面d)项也是着重学习的标准。IT的管理很重要,毕竟“三分技术、七分管理”,因此,也就很明显,安全管理在信息系统环境中的重要性。
四、额外参考书
下面是笔者推荐的这几本书,初学者或者入门的人,必须要买这几本书,如果单位有书的话,务必一定借阅。其中的重要性,你们都清楚,我就不多说。
1、信息安全等级测评师培训教程(初级) 【详细教你们用什么方法去测评】
2、信息安全等级测评师培训教程(中级) 【这一本是中级测评师用书,你们入门者可以入门学习】
备注:这一期的信息安全等级保护入门指导讲解到这里,后期我会在提高篇、实践篇的版块详细述说等级保护的知识。(原文地址)
游侠备注:
网上看到这篇文章,应该对很多安全从业者具有参考意义,目前只更新了“入门篇”,游侠也会一直关注后文,若有更新,也欢迎网友投稿到游侠安全网(www.youxia.org),谢谢支持!
